Je recherche un avocat expert en
à
Cette règlementation, qui s’inscrit dans la stratégie numérique pour l’Europe, vise à encadrer une des technologies de rupture les plus impactantes de ces dernières années (voire décennies) et est notable à plusieurs égards.
Contrairement aux reproches habituellement formulés contre les textes visant à réguler a posteriori des technologies ou des usages déjà largement déployés en pratique, ce texte d’initiative européenne sera le premier texte contraignant d’envergure sur l’intelligence artificielle à être adopté dans le monde.
Les États-Unis disposent par comparaison de principes directeurs superficiels (Blueprint for an Artificial Intelligence Bill of Rights) et d’executive orders non contraignants.
Cette proposition de règlement est construite sur une approche par les risques inhérents aux technologies et usages qu’elle vise à encadrer.
Un système d’IA est défini comme « un système basé sur une machine, conçu pour fonctionner avec différents niveaux d’autonomie, qui peut faire preuve d’adaptabilité après son déploiement et qui, pour des objectifs explicites ou implicites, déduit, à partir des données qu’il reçoit, comment générer des résultats tels que des prédictions, du contenu, des recommandations ou des décisions pouvant influencer des environnements physiques ou virtuels » (art.3). Les systèmes logiciels basés uniquement sur des règles définies par des humains sont expressément exclus du champ d’application du règlement.
Aux termes de cette définition, l’une des principales caractéristiques des systèmes d’IA est leur capacité d’inférence.
Cette inférence fait référence au processus d’obtention des résultats, tels que les prédictions, le contenu, les recommandations ou les décisions, qui peuvent influencer les environnements physiques et virtuels, et à la capacité des systèmes d’IA à dériver des modèles et/ou des algorithmes à partir d’entrées/données. Les techniques qui permettent l’inférence lors de la construction d’un système d’IA comprennent les approches d’apprentissage automatique qui apprennent à partir des données comment atteindre certains objectifs, et les approches basées sur la logique et la connaissance qui infèrent à partir de la connaissance codée ou de la représentation symbolique de la tâche à résoudre. La capacité d’un système d’IA à déduire va au-delà du traitement de base des données, permet l’apprentissage, le raisonnement ou la modélisation (considérant 6).
Les types de systèmes régulés ainsi définis, l’IA Act produit ses effets de manière extraterritoriale puisque les règles édictées s’appliquent à tout acteur qui fournit, distribue, déploie (voire utilise) des systèmes d’IA sur le territoire de l’Union Européenne.
Dans son contenu, le règlement impose des obligations différentes selon les catégories auxquelles les systèmes d’IA appartiennent:
Le délai de mise en conformité aux obligations découlant du règlement pour les acteurs concernés est par principe de 24 mois à compter de l’entrée en vigueur du règlement.
Les États membres bénéficient également de ce délai de 24 mois pour permettre une pleine efficacité de ces dispositions sur leur territoire. En particulier, ils doivent procéder à la désignation de l’autorité nationale en charge du suivi de cette réglementation (la CNIL en France), la mise en place du bac à sable règlementaire, et la pleine effectivité des sanctions.
Par exception, certaines obligations ont des échéances dérogatoires:
De nombreuses évolutions d’usages et de technologies ont été prises en compte au cours des discussions sur l’AI Act, en particulier les systèmes d’IA génératives et les modèles de langages à usage général.
C’est ainsi que la dernière mouture du texte intègre de nouvelles dispositions concernant les modèles d’IA à usage général ou GPAI et crée des obligations horizontales spécifiques, incluant la documentation technique et des évaluations de risques.
Face au constat que les systèmes de fondation présentent un risque systémique, la dernière version du texte a prévu un seuil quantitatif de classification des GPAI.
Le délai de mise en conformité aux obligations découlant du réglement pour les acteurs concernés est par principe de 24 mois à compter de l’entrée en vigueur du réglement.
La capacité de calcul, de même que le développement des technologies, augmentent toutefois de manière exponentielle, de sorte que le règlement prévoit une évaluation continue des règles applicables et impose une mise à jour périodique du règlement 3 ans après son entrée en application, puis tous les 4 ans.
Enfin, des précisions devront être apportées par les autorités dédiées, au premier lieu desquelles l’Office européen sur l’IA, pour permettre une compréhension opérationnelle des exigences règlementaires.
La mise en conformité des acteurs va ainsi nécessiter une prise en compte des contraintes réglementaires de l’IA Act, ainsi que des nombreux autres impératifs nationaux et européens, dès le stade de la conception des systèmes d’IA pour permettre de ne pas freiner l’innovation tout en maîtrisant les usages.